2015中国APT研究报告:中国是APT攻击的主要受害国
2015中国APT研究报告:中国是APT攻击的主要受害国
2016-01-22 17:30:13 来源: FreeBuf
抢沙发
2016-01-22 17:30:13 来源: FreeBuf
摘要:《2015年中国高级持续性威胁(APT)研究报告》揭示了针对我国的APT攻击技术演变趋势。报告显示,中国是APT攻击的主要受害国,国内多个省、市受到不同程度的影响。
关键词:
信息安全
(一)收集基本信息
这里主要是指目标机器一旦被成功植入了相应恶意代码,一般恶意代码会自动或者等待C&C指令,将被感染机器的相关基本信息回传,相关信息主要包括以下信息:
1)主机信息:主要包括操作系统信息、主机名称、本地用户名等;
2)网络信息:主要包括IP地址、网关信息等;
3)应用程序信息:相关版本信息,主要包括MicrosoftOffice和MicrosoftInternetExplorer版本信息;
4)另外还包括磁盘信息、当前进程信息等。
图5 窃取的主机基本信息示例(APT-C-05组织)
攻击者主要依靠相关基本信息来进行初步筛选,包括识别目标机器的真伪(即是否为虚拟机或蜜罐),进一步可以判断目标的重要程度。
另外这里的初步探测并收集目标的基本信息,主要在相应机器被首次攻陷后,而不取决于具体攻击环节,比如在初始攻击和进一步横向移动都会存在相关探测行为。
(二)窃取敏感数据
APT组织从中国科研、政府机构等领域窃取了大量敏感数据,对国家安全已造成严重的危害。其中APT-C-05组织是一个针对中国攻击的境外APT组织,也是我们至今捕获到针对中国攻击持续时间最长的一个组织,该组织主要针对中国政府、军事、科技和教育等重点单位和部门,相关攻击行动最早可以追溯到2007,至今还非常活跃。也就是从2007年开始APT-C-05组织进行了持续8年的网络间谍活动。
相关APT组织窃取的具体数据内容有很大差异,但均涉及中国科研、政府等领域的敏感数据,其中窃取的敏感数据中以具备文件实体形态的文档数据为主,进一步会包括帐号密码、截图等,另外针对移动设备的情况在下面会具体介绍。
表2 主要窃取的文件扩展名
上表是窃取的文件类型和具体针对的文件扩展名,不同组织探测窃取的方式不同,如APT-C-05组织只关注移动存储设备某一个时间段内的文档文件,且相关文件名必须包含指定的关键字。而APT-C-12组织,则没有太多限制条件,在指定盘符下的所有文档文件都会关注,回传之后再进一步甄别。
APT组织关注的敏感文档,除了主流的微软Office文档,更关注中国本土的WPS Office相关文档,其中APT-C-05和APT-C-12组织都会关注以“.wps”扩展名的文档,这也是由于WPS Office办公软件的用户一般分布在国内政府机构或事业单位。
APT组织长时间潜伏窃取了大量敏感数据是我们可以看到的危害,另外从APT组织对目标所属行业领域的熟悉、对目标作业环境的掌握,以及符合目标习惯偏好,这些适应中国本土化“量身定制”的攻击行动完全做到有的放矢,则让我们更是不寒而栗。相关内容我们在“第六章 APT攻击为中国本土‘量身定制’”章节会进一步详细介绍。
(三)针对移动通信设备
在APT攻击中,除了针对传统PC平台,针对移动平台的攻击也越来越多。如智能手机等移动通信设备,天生有传统PC不具备的资源,如通话记录、短信信息、地理位置信息等。
表3 Android RAT窃取相关信息列表(APT-C-01行动)
上表内手机基本信息进一步包括:如imsi、imei、电话号码、可用内存、屏幕长宽、网卡mac地址、SD卡容量等信息。
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
